Email or username:

Password:

Forgot your password?
Top-level
yesfreenet

@ludivokrug а они не могли соединить эти сервисы в один антивирус 😅

4 comments
Шуро
@yesfreenet @ludivokrug Как я понял. это не работающий в реальном времени сканер, а постоянно ообновляемая база скомпрометированных пакетов. Т.е. применяться должно не при работе программ на конечных устройствах, а при разработке, автоматизированной сборке и так далее.
Lex Publica
@shuro @yesfreenet знаете, что меня напрягает в этой истории? Что такая фишка нужна в принципе. Это означает, что тезис "бизапасный линупс" - если и работал когда-то, то не очень.
Шуро
@yesfreenet @ludivokrug Я думаю, это никогда нормально не работало, просто громких историй не было. А так захват всяких node.js пакетов с подменой кода - дело привычное.

Как недавно тут проскочила история про китаянку, что настрочила в свой сегмент Википедии две сотни вымышленных статей об истории России. Тоже ведь опенсорс, общественная модерация, пятое-десятое. Так вот заметили через десять лет.

Нет никакой магии в опенсорсе. Открытость лучше, нежели закрытость, но сама по себе она не гарантирует безопасности.
@yesfreenet @ludivokrug Я думаю, это никогда нормально не работало, просто громких историй не было. А так захват всяких node.js пакетов с подменой кода - дело привычное.

Как недавно тут проскочила история про китаянку, что настрочила в свой сегмент Википедии две сотни вымышленных статей об истории России. Тоже ведь опенсорс, общественная модерация, пятое-десятое. Так вот заметили через десять лет.
Шуро
@yesfreenet @ludivokrug А, кстати, вот история из жизни. У меня на работе лет этак 15(!) лет назад разработчики ухитрились использовать такой зловредный пакет в очередной версии внутреннего ПО. Самая мякотка была в том, что боевая нагрузка там срабатывала не сразу и только при исполнении на клиенте. На тестах ничего не заметили.

Потом обновление разошлось по сети на клиенты, а поскольку зловред был известен, то уже там антивирус при его проявлении вражий код вынес, заодно парализовав работу системы.

Все очень порадовались, так как сеть у нас была распределённая территориально, местами на очень плохих каналах и, если маленькие обновления туда пролезали, то взять и перенакатить удалённо всю торговую систему было уже нереально кое-где. Инженеры взяли в зубы флешки и поехали по остановившимся магазинам.
@yesfreenet @ludivokrug А, кстати, вот история из жизни. У меня на работе лет этак 15(!) лет назад разработчики ухитрились использовать такой зловредный пакет в очередной версии внутреннего ПО. Самая мякотка была в том, что боевая нагрузка там срабатывала не сразу и только при исполнении на клиенте. На тестах ничего не заметили.
Go Up